KR101052443B1 - Malware Analysis Method and System - Google Patents
Malware Analysis Method and System Download PDFInfo
- Publication number
- KR101052443B1 KR101052443B1 KR1020090042555A KR20090042555A KR101052443B1 KR 101052443 B1 KR101052443 B1 KR 101052443B1 KR 1020090042555 A KR1020090042555 A KR 1020090042555A KR 20090042555 A KR20090042555 A KR 20090042555A KR 101052443 B1 KR101052443 B1 KR 101052443B1
- Authority
- KR
- South Korea
- Prior art keywords
- link information
- web page
- malicious
- page source
- link
- Prior art date
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 37
- 238000000034 method Methods 0.000 claims description 12
- 238000010586 diagram Methods 0.000 description 8
- 230000001413 cellular effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3604—Software analysis for verifying properties of programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/10—Requirements analysis; Specification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/448—Execution paradigms, e.g. implementations of programming paradigms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Business, Economics & Management (AREA)
- Signal Processing (AREA)
- General Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Tourism & Hospitality (AREA)
- Health & Medical Sciences (AREA)
- Quality & Reliability (AREA)
- Economics (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Virology (AREA)
- Computing Systems (AREA)
- Information Transfer Between Computers (AREA)
Abstract
웹서버로부터 웹페이지 소스를 다운로드하는 다운로드부, 상기 다운로드한 웹페이지 소스로부터 링크정보를 수집하는 수집부, 및 상기 수집된 링크정보에 기초하여 상기 웹페이지 소스에 악성코드가 포함되어 있는지 판단하는 판단부를 포함하는 악성코드 분석 시스템을 제공한다.A determination unit for determining whether malicious code is included in the web page source based on a download unit downloading a web page source from a web server, a collecting unit collecting link information from the downloaded web page source, and the collected link information Provides a malicious code analysis system including a wealth.
웹페이지, 링크정보, 악성코드, 링크개수, 악성 링크 패턴, 악성 스트링 Web page, link information, malicious code, link count, malicious link pattern, malicious string
Description
본 발명은 악성코드 분석 방법 및 시스템에 관한 것이다.The present invention relates to a method and system for analyzing malware.
통신기술의 발달로 인해, 종래에는 가맹점마다 직접 찾다 다니며 수행해야했던 일을 이제는 컴퓨터를 이용하여 가맹점 서버에 접속함으로써, 원하는 서비스를 이용할 수 있게 되었다. 예컨대, 사용자는 금융사 서버에 접속하여 원하는 금융거래를 수행하거나, 쇼핑몰 서버에 접속하여 원하는 상품을 구매할 수 있게 되었다.Due to the development of communication technology, it is now possible to use a desired service by accessing a merchant server by using a computer to perform a task that has conventionally been performed by each merchant. For example, a user may access a financial company server to perform a desired financial transaction or may access a shopping mall server to purchase a desired product.
그러나, 가맹점 서버에 접속하여 서비스를 이용하는 경우, 이름, 주민번호, 연락처, 주소를 포함하는 사용자의 개인정보를 등록해야 하는데, 이러한 사용자의 개인정보가 외부로 유출될 위험이 높다는 문제점이 있다. 최근에는 인터넷 뱅킹 시, 입력하는 인증코드나 공인인증서의 비밀번호까지 해킹하여 사용자 몰래 사용자의 예금통장에서 돈을 인출해가는 사례가 늘고 있어, 그에 대한 적절한 보안 방법이 시급한 실정이다.However, when accessing a merchant server to use a service, a user's personal information including a name, a social security number, a contact number, and an address must be registered, but there is a problem in that the personal information of the user is high. Recently, in the case of Internet banking, the number of cases of withdrawing money from the user's bank account by hacking the authentication code or the certificate of the authentication certificate entered is urgent, and an appropriate security method is urgently needed.
일반적으로 인터넷을 통한 서비스 이용 시, 서비스 이용에 필요한 프로그램을 컴퓨터에 다운로드하거나, 웹페이지 구성에 필요한 웹페이지 소스를 컴퓨터에 다운 로드한다. 이때, 프로그램 또는 웹페이지 소스에 악성코드가 포함되어 있는 경우, 사용자도 모르는 사이에 악성코드가 컴퓨터로 다운로드되어, 사용자의 개인정보를 외부에 노출되게 할 수 있다.In general, when using a service through the Internet, a program necessary to use the service is downloaded to a computer, or a web page source necessary for constructing a web page is downloaded to the computer. In this case, when the malicious code is included in the source of the program or the web page, the malicious code may be downloaded to the computer without the user's knowledge, and the user's personal information may be exposed to the outside.
따라서, 인터넷을 통한 서비스 이용 시, 컴퓨터로 다운로드되는 웹페이지 소스에 악성 코드가 포함되어 있는지 분석하여, 적절히 대응하는 방안이 필요한 실정이다.Therefore, when using a service through the Internet, it is necessary to analyze the malicious code in the web page source downloaded to the computer, and to respond appropriately.
본 발명의 일실시예는 서로 다른 시점에 동일한 URL을 갖는 두 개의 웹페이지 소스로부터 각각 링크정보를 수집하여, 수집한 두 개의 링크정보가 서로 상이한 경우, 상기 두 개의 웹페이지 소스 중 어느 하나에 악성코드가 포함되어 있는 것으로 판단함으로써, 웹페이지 소스에 악성코드가 포함되어 있는지 용이하게 판단할 수 있는 악성코드 분석 방법 및 시스템을 제공한다.An embodiment of the present invention collects link information from two web page sources having the same URL at different time points, and when the collected two link informations are different from each other, it is malicious to any one of the two web page sources. By determining that the code is included, the present invention provides a method and system for analyzing malicious codes that can easily determine whether malicious code is included in a web page source.
본 발명의 일실시예에 따른 악성코드 분석 시스템은 웹서버로부터 웹페이지 소스를 다운로드하는 다운로드부, 상기 다운로드한 웹페이지 소스로부터 링크정보를 수집하는 수집부, 및 상기 수집된 링크정보에 기초하여 상기 웹페이지 소스에 악성코드가 포함되어 있는지 판단하는 판단부를 포함한다.The malware analysis system according to an embodiment of the present invention includes a download unit for downloading a web page source from a web server, a collecting unit for collecting link information from the downloaded web page source, and the collected link information based on the collected link information. It includes a determination unit that determines whether malicious code is included in the web page source.
또한, 본 발명의 일실시예에 따른 다운로드부는 웹서버로부터 제1 시점에 제1 웹페이지 소스를 다운로드하고, 상기 제1 시점과 상이한 제2 시점에 상기 제1 웹페이지 소스와 연관된 제2 웹페이지 소스를 다운로드한다.In addition, the download unit according to an embodiment of the present invention downloads the first web page source from the web server at a first point in time, and a second web page associated with the first web page source at a second point in time different from the first point in time. Download the source.
또한, 본 발명의 일실시예에 따른 수집부는 다운로드한 제1 웹페이지 소스로부터 제1 링크정보를 수집하고, 상기 다운로드한 제2 웹페이지 소스로부터 제2 링크정보를 수하고, 판단부는 상기 제1 링크정보와 상기 제2 링크정보를 비교하고, 상기 비교결과, 상기 제1 링크정보와 상기 제2 링크정보가 상이한 경우, 상기 제1 웹페이지 소스 또는 상기 제2 웹페이지 소스에 악성코드가 포함된 것으로 판단한 다.In addition, the collector according to an embodiment of the present invention collects the first link information from the downloaded first webpage source, and receives the second link information from the downloaded second webpage source, the determination unit is the first Comparing the link information and the second link information, if the first link information and the second link information is different, the malicious code is included in the first web page source or the second web page source. Judging by it.
또한, 본 발명의 일실시예에 따른 판단부는 제1 웹페이지 소스로부터 수집한 제1 링크정보에 포함된 제1 링크개수와 제2 웹페이지 소스로부터 수집한 제2 링크정보에 포함된 제2 링크개수를 비교한다.In addition, the determination unit according to an embodiment of the present invention, the first link number included in the first link information collected from the first webpage source and the second link included in the second link information collected from the second webpage source. Compare the numbers.
또한, 본 발명의 일실시예에 따른 판단부는 (1)제1 내부 링크정보와 제2 내부 링크정보가 상이한 경우, 제1 웹페이지 소스 또는 제2 웹페이지 소스에 악성코드가 포함된 것으로 판단하고, 또는 (2)제1 외부 링크정보와 제2 외부 링크정보가 상이한 경우, 제1 웹페이지 소스 또는 제2 웹페이지 소스에 악성코드가 포함된 것으로 판단한다.In addition, the determination unit according to an embodiment of the present invention (1) when the first internal link information and the second internal link information is different, it is determined that the malicious code is included in the first web page source or the second web page source and Or (2) When the first external link information and the second external link information are different, it is determined that the malicious code is included in the first web page source or the second web page source.
또한, 본 발명의 일실시예에 따른 데이터베이스는 악성 링크 패턴을 저장하고, 판단부는 상기 수집된 링크정보가 상기 저장된 악성 링크 패턴에 포함되는 경우, 상기 웹페이지 소스에 악성코드가 포함된 것으로 판단한다.In addition, the database according to an embodiment of the present invention stores a malicious link pattern, and the determination unit determines that the malicious code is included in the web page source when the collected link information is included in the stored malicious link pattern. .
또한, 본 발명의 일실시예에 따른 판단부가 웹페이지 소스에 악성코드가 포함된 것으로 판단한 경우, 악성 스트링 수집부는 상기 악성코드가 포함된 링크정보로부터 악성 스트링을 수집하고, 데이터베이스는 상기 수집된 악성 스트링을 저장한다.In addition, when the determination unit according to an embodiment of the present invention determines that the malicious code is included in the web page source, the malicious string collection unit collects a malicious string from the link information containing the malicious code, the database is the collected malicious Save the string.
또한, 본 발명의 일실시예에 따른 악성코드 분석 방법은 웹서버로부터 웹페이지 소스를 다운로드하는 단계, 상기 다운로드한 웹페이지 소스로부터 링크정보를 수집하는 단계, 및 상기 수집된 링크정보에 기초하여 상기 웹페이지 소스에 악성코드가 포함되어 있는지 판단하는 단계를 포함한다.In addition, the malware analysis method according to an embodiment of the present invention includes the steps of downloading a web page source from a web server, collecting link information from the downloaded web page source, and based on the collected link information Determining whether the web page source contains malicious code.
본 발명의 일실시예에 따르면, 동일한 URL을 갖는 두 개의 웹페이지 소스로부터 수집된 링크정보에 기초하여 상기 두 개의 웹페이지 소스에 악성코드가 포함되어 있는지 용이하게 판단할 수 있다.According to an embodiment of the present invention, based on link information collected from two web page sources having the same URL, it is easy to determine whether malicious code is included in the two web page sources.
본 발명의 일실시예에 따르면, 웹페이지 소스로부터 수집된 링크정보가 사전에 설정된 악성 링크 패턴에 포함되는지 확인하여, 상기 웹페이지 소스에 악성코드가 포함되어 있는 경우, 관리자에게 통보할 수 있다.According to an embodiment of the present invention, by checking whether link information collected from a web page source is included in a preset malicious link pattern, and when malicious code is included in the web page source, an administrator may be notified.
본 발명의 일실시예에 따르면, 악성코드가 포함된 링크정보로부터 악성 스트링을 수집함으로써, 수집된 악성 스트링을 이용하여 이후, 다운로드되는 웹페이지 소스에 악성코드가 포함되어 있는지 판단할 수 있다.According to an embodiment of the present invention, by collecting a malicious string from the link information containing the malicious code, it is possible to determine whether the malicious code is included in the web page source to be downloaded using the collected malicious string.
이하, 첨부 도면들 및 첨부 도면들에 기재된 내용들을 참조하여 본 발명의 다양한 실시예를 상세하게 설명하지만, 본 발명이 실시예에 의해 제한되거나 한정되는 것은 아니다.Hereinafter, various embodiments of the present invention will be described in detail with reference to the accompanying drawings and accompanying drawings, but the present invention is not limited to or limited by the embodiments.
도 1은 본 발명의 일실시예에 따른 악성코드 분석 시스템의 구성을 도시한 블록도이다.1 is a block diagram showing the configuration of a malicious code analysis system according to an embodiment of the present invention.
도시한 바와 같이, 본 발명의 일실시예에 따른 악성코드 분석 시스템(100)은 다운로드부(110), 수집부(120), 판단부(130), 데이터베이스(140), 및 악성 스트링 수집부(150)를 포함한다.As shown, the
다운로드부(110)는 웹서버로부터 웹페이지 소스를 다운로드한다. 여기서, 웹서버는 사용자가 요청한 웹페이지를 휴대폰(Cellular Phone) 또는 컴퓨터(Computer)로 제공하는 서버를 통칭한다. 상기 웹페이지 소스는 웹페이지 구성에 필요한 소스로서, 예컨대, html, java script, css 형식의 파일을 포함한다.The download unit 110 downloads a web page source from a web server. Here, the web server generally refers to a server that provides a web page requested by a user to a cellular phone or a computer. The web page source is a source necessary for constructing a web page, and includes, for example, a file of html, java script, or css format.
본 발명의 일실시예로, 다운로드부(110)는 상기 웹서버로부터 제1 시점에 제1 웹페이지 소스를 다운로드하고, 상기 제1 시점과 상이한 제2 시점에 상기 제1 웹페이지 소스와 연관된 제2 웹페이지 소스를 다운로드할 수 있다. In one embodiment of the present invention, the download unit 110 downloads the first web page source from the web server at a first point in time, and is associated with the first web page source at a second point in time different from the first point in time. 2 You can download the web page source.
상기 제1 시점은 상기 제1 웹페이지 소스를 다운로드하는 시점으로서, 예컨대, '09.04.30, 17:55'일 수 있다. 상기 제2 시점은 상기 제1 시점과는 상이한 시점으로서, 상기 제1 시점 이후의 시점일 수 있다. 예컨대, 상기 제1 시점이 '09.04.30, 17:55' 인 경우, 상기 제2 시점은 '09.04.30, 18:00'일 수 있다.The first time point is a time point for downloading the first web page source and may be, for example, '09 .04.30, 17:55 '. The second time point may be a time point different from the first time point, and may be a time point after the first time point. For example, when the first time point is '09 .04.30, 17:55 ', the second time point may be '09 .04.30, 18:00'.
상기 제1 웹페이지 소스와 상기 제2 웹페이지 소스는 동일한 URL을 갖는 웹페이지 소스로서, 상기 웹서버로부터 다운로드하는 시점이 다르다는 것이 차이점이다. 예컨대, 다운로드부(110)는 'http://www.target.com/index.htm' 라는 URL을 갖는 웹페이지 소스를 주기적으로 다운로드하고, 먼저 다운로드한 웹페이지 소스를 제1 웹페이지 소스, 다음에 다운로드한 웹페이지 소스를 제2 웹페이지 소스라 한다.The difference between the first webpage source and the second webpage source is a webpage source having the same URL, and the time point of downloading from the web server is different. For example, the download unit 110 periodically downloads a webpage source having a URL of 'http://www.target.com/index.htm', and firstly downloads the downloaded webpage source into a first webpage source, and then The web page source downloaded to the second web page source is called.
수집부(120)는 상기 다운로드한 웹페이지 소스로부터 링크정보를 수집한다. 상기 링크정보는 상기 웹페이지 소스에 포함된 링크들에 대한 정보이다. 수집부(120)는 상기 수집된 링크정보를 데이터베이스(140)에 저장할 수 있다.The
본 발명의 일실시예로, 수집부(120)는 상기 다운로드한 제1 웹페이지 소스 로부터 제1 링크정보를 수집하고, 상기 다운로드한 제2 웹페이지 소스로부터 제2 링크정보를 수집한다. 즉, 상기 제1 웹페이지 소스와 상기 제2 웹페이지 소스는 동일한 URL을 갖지만, 서로 다른 시점에 다운로드되었으므로, 포함된 링크정보도 다를 수 있다. 따라서, 수집부(120)는 제1, 제2 웹페이지 소스로부터 각각 제1, 제2 링크정보를 수집할 수 있다.In an embodiment of the present invention, the
판단부(130)는 상기 수집된 링크정보에 기초하여 상기 웹페이지 소스에 악성코드가 포함되어 있는지 판단한다.The determination unit 130 determines whether malicious code is included in the web page source based on the collected link information.
본 발명의 일실시예로, 판단부(130)는 상기 제1 링크정보와 상기 제2 링크정보를 비교하고, 상기 비교결과, 상기 제1 링크정보와 상기 제2 링크정보가 상이한 경우, 상기 제2 웹페이지 소스에 악성코드가 포함된 것으로 판단할 수 있다. 예컨대, 판단부(130)는 상기 제1 링크정보에 포함된 제1 링크개수와 상기 제2 링크정보에 포함된 제2 링크개수가 상이한 경우, 상기 제2 웹페이지 소스에 악성코드가 포함된 것으로 판단할 수 있다.In one embodiment of the present invention, the determination unit 130 compares the first link information and the second link information, and when the comparison result, the first link information and the second link information is different, the first 2 It can be determined that malicious code is included in the web page source. For example, when the number of first links included in the first link information is different from the number of second links included in the second link information, the determination unit 130 includes malicious code in the source of the second web page. You can judge.
이하에서는 도 2를 참조하여 설명한다.A description with reference to FIG. 2 is as follows.
도 2는 본 발명의 일실시예에 따른 악성코드 분석 시스템에서 웹페이지 소스에 악성코드가 포함되어 있는지 판단하는 일례를 도시한 도면이다.2 is a diagram illustrating an example of determining whether a malicious code is included in a web page source in a malicious code analysis system according to an exemplary embodiment of the present invention.
도시한 바와 같이, 수집부(120)는 제1 웹페이지 소스(210)와 제2 웹페이지 소스(220)로부터 제1, 제2 링크정보를 수집할 수 있다. 예컨대, 상기 제1 링크정보는 제1 내부 링크정보, 제1 외부 링크정보를 포함하고, 상기 제2 링크정보는 제2 내부 링크정보, 제2 외부 링크정보를 포함할 수 있다. 여기서, 상기 제1, 제2 내 부 링크정보는 '제1, 제2 내부 링크개수'이고, 상기 제1, 제2 외부 링크정보는 '제1, 제2 외부 링크개수'로 해석될 수 있다.As shown, the
이에 따라, 판단부(130)는 제1 내부 링크개수와 제2 내부 링크개수를 비교하고, 제1 외부 링크개수와 제2 외부 링크개수를 비교함으로써, 제1 웹페이지 소스(210) 또는 제2 웹페이지 소스(220)에 악성코드가 포함되어 있는지 판단할 수 있다. 예컨대, 상기 제1, 제2 내부 링크개수는 '4개'로 동일하고, 상기 제1, 제2 외부 링크개수는 '7개'로 동일한 경우, 판단부(130)는 제1 웹페이지 소스(210) 또는 제2 웹페이지 소스(220)에 악성코드가 포함되어 있지 않은 것으로 판단할 수 있다.Accordingly, the determination unit 130 compares the number of first internal links and the number of second internal links, and compares the number of first external links and the number of second external links, thereby providing the first
그러나, 제1 웹페이지 소스(230)로부터 수집한 제1 링크정보와, 제2 웹페이지 소스(240)로부터 수집한 제2 링크정보가 상이한 경우, 판단부(130)는 제1 웹페이지 소스(230) 또는 제2 웹페이지 소스(240)에 악성코드가 포함된 것으로 판단할 수 있다. 즉, 제1, 제2 웹페이지 소스(230, 240)으로부터 수집된 제1, 제2 내부 링크개수는 '4개'로 동일하지만, 제1 웹페이지 소스(230)로부터 수집한 제1 외부 링크개수는 '7개', 제2 웹페이지 소스(240)로부터 수집한 제2 외부 링크개수는 '9개'로 상이하다. 이 경우, 판단부(130)는 제1 웹페이지 소스(230) 또는 제2 웹페이지 소스(240)에 악성코드가 포함된 것으로 판단할 수 있다.However, when the first link information collected from the
도면에서는 제1 웹페이지 소스(230)보다 제2 웹페이지 소스(240)의 링크개수가 증가하였으므로, 판단부(130)는 제2 웹페이지 소스(240)에 악성코드가 포함된 것으로 판단할 수 있다.In the drawing, since the number of links of the
이 경우, 악성코드 분석 시스템(100)은 악성코드가 포함된 것으로 판단된 웹페이지 소스(250)를 관리자에게 통보할 수 있다. 이에 따라, 관리자는 상기 웹페이지 소스(250)에 포함된 악성코드에 대한 악성 링크 패턴을 추출하여, 데이터베이스(140)에 기록할 수 있다.In this case, the
데이터베이스(140)는 악성 링크 패턴을 저장한다. 상기 악성 링크 패턴은 악성코드로 분류되는 링크 패턴에 대한 것으로, 관리자에 의해 설정될 수 있다.The
본 발명의 일실시예로, 판단부(130)는 상기 수집된 링크정보가 데이터베이스(140)에 사전에 저장된 악성 링크 패턴에 포함되는지 확인함으로써, 상기 웹페이지 소스에 악성코드가 포함되어 있는지 판단할 수 있다.In an embodiment of the present invention, the determination unit 130 determines whether the collected link information is included in a malicious link pattern previously stored in the
도 3은 본 발명의 일실시예에 따른 악성코드 분석 시스템에서 링크정보에 악성 링크 패턴이 포함되어 있는지 판단하는 일례를 도시한 도면이다.3 is a diagram illustrating an example of determining whether a malicious link pattern is included in link information in a malware analysis system according to an exemplary embodiment of the present invention.
도시한 바와 같이, 판단부(130)는 악성코드가 포함되어 있다고 판단된 제2 웹페이지 소스(310)로부터 수집된 링크정보 'http://www.hacker.cn/tools.js'가 데이터베이스(140)에 저장된 악성 링크 패턴(320)에 포함되어 있는지 판단한다. 예컨대, 악성 링크 패턴(320)은 http://?.?.cn와 같은 도메인 링크, http://100.100.?.?와 같은 IP 링크, http://a.b.c/trojan.js와 같은 링크를 포함할 수 있다.As shown in the drawing, the determination unit 130 collects the link information 'http://www.hacker.cn/tools.js' collected from the
상기 판단결과, 상기 수집된 링크정보가 악성 링크 패턴(320)에 포함되는 경우, 판단부(130)는 웹페이지 소스(310)에 악성코드가 포함된 것으로 판단할 수 있다.As a result of the determination, when the collected link information is included in the
본 발명의 일실시예로, 판단부(130)는 도 2에 도시한 데로, 상기 수집된 링 크정보에 기초하여 웹페이지 소스(310)에 악성코드가 포함되어 있는지 1차 판단한 후, 웹페이지 소스(310)에 악성코드가 포함된 것으로 판단된 경우, 상기 링크정보가 악성 링크 패턴(320)에 포함되는지 2차 판단할 수 있다.In one embodiment of the present invention, the determination unit 130 as shown in Figure 2, based on the collected link information based on the first determine whether the malicious code is included in the
즉, 본 발명의 실시예에 따라, 판단부(130)는 (1)링크정보에 포함된 링크개수가 상이한 경우 웹페이지 소스(310)에 악성코드가 포함되어 있다고 판단하거나, (2)링크정보가 악성 링크 패턴에 포함되는 경우 웹페이지 소스(310)에 악성코드가 포함되어 있다고 판단하거나, (3)(1)과 (2)를 모두 만족한 웹페이지 소스(310)에 대해서만 악성코드가 포함되어 있다고 판단할 수 있다.That is, according to an embodiment of the present invention, the determination unit 130 determines that (1) when the number of links included in the link information is different, malicious code is included in the
악성 스트링 수집부(150)는 상기 웹페이지 소스에 악성코드가 포함된 것으로 판단한 경우, 상기 악성코드가 포함된 링크정보로부터 악성 스트링을 수집한다. 상기 악성 스트링은 데이터베이스(140)에 저장된 악성 링크 패턴과 유사한 것일 수 있다. 데이터베이스(140)는 상기 수집된 악성 스트링을 저장한다.When it is determined that the malicious code is included in the web page source, the malicious string collection unit 150 collects a malicious string from link information including the malicious code. The malicious string may be similar to the malicious link pattern stored in the
도 4는 본 발명의 일실시예에 따른 악성코드 분석 시스템에서 악성코드가 포함된 링크정보로부터 악성 스트링을 수집하는 일례를 도시한 도면이다.4 is a diagram illustrating an example of collecting a malicious string from the link information containing the malicious code in the malware analysis system according to an embodiment of the present invention.
도시한 바와 같이, 악성 스트링 수집부(150)는 포함된 제2 웹페이지 소스(410)에 포함된 링크정보(420, 'http://www.attack-1.cn/tools.js', 'http://www.attack-2.cn/tools.js')를 악성 스트링(430)으로 수집하여 데이터베이스(140)에 저장한다. 이렇게 수집된 악성 스트링은 악성 링크 패턴과 유사하게, 웹페이지 소스에 악성코드가 포함되어 있는지 여부를 판단할 때 이용할 수 있다.As shown in the drawing, the malicious string collection unit 150 may include
즉, 악성 스트링 수집부(150)는 악성코드가 포함된 제2 웹페이지 소스(410) 에 포함된 링크정보에 연결하여, 악성파일을 다운로드할 수 있다. 악성 스트링 수집부(150)는 상기 다운로드된 악성파일 자체의 스트링(string)을 악성 스트링으로 수집할 수 있다. That is, the malicious string collector 150 may download the malicious file by connecting to the link information included in the second
도 5는 본 발명의 일실시예에 따른 악성코드 분석 방법의 순서를 도시한 흐름도이다.5 is a flowchart illustrating a procedure of a malicious code analysis method according to an embodiment of the present invention.
상기 악성코드 분석 방법은 본 발명의 악성코드 분석 시스템(100)에 의해 구현될 수 있다. 따라서, 상술한 도 1을 참조하여 도 5를 설명함으로써, 본 발명의 이해를 도모한다.The malware analysis method may be implemented by the
단계 510에서, 악성코드 분석 시스템(100)은 웹서버로부터 제1 시점에 제1 웹페이지 소스를 다운로드하고, 상기 제1 시점과 상이한 제2 시점에 상기 제1 웹페이지 소스와 연관된 제2 웹페이지 소스를 다운로드한다.In
상기 제1 시점은 상기 제1 웹페이지 소스를 다운로드하는 시점이고, 상기 제2 시점은 상기 제1 시점과는 상이한 시점으로서, 상기 제1 시점 이후의 시점일 수 있다. 또한, 상기 제1 웹페이지 소스와 상기 제2 웹페이지 소스는 동일한 URL을 갖는 웹페이지 소스로서, 상기 웹서버로부터 다운로드하는 시점이 다르다는 것이 차이점이다. 다운로드부(110)는 동일한 URL을 갖는 웹페이지 소스를 주기적으로 다운로드하고, 먼저 다운로드한 웹페이지 소스를 제1 웹페이지 소스, 다음에 다운로드한 웹페이지 소스를 제2 웹페이지 소스라 할 수 있다.The first time point is a time point for downloading the first webpage source, and the second time point is different from the first time point, and may be a time point after the first time point. In addition, the first web page source and the second web page source is a web page source having the same URL, the difference is that the download time from the web server is different. The downloader 110 may periodically download a webpage source having the same URL, and may first call the first downloaded webpage source and the next downloaded webpage source as a second webpage source.
단계 520에서, 악성코드 분석 시스템(100)은 상기 다운로드한 제1 웹페이지 소스로부터 제1 링크정보를 수집하고, 상기 다운로드한 제2 웹페이지 소스로부터 제2 링크정보를 수집한다. 상기 제1, 제2 링크정보는 상기 제1, 제2 웹페이지 소스에 포함된 링크들에 대한 정보이고, 예컨대, 상기 제1, 제2 웹페이지 소스에 포함된 링크개수이다.In
실시예로, 수집부(120)는 상기 수집된 제1 링크정보를 상기 제1 웹페이지 소스에 대응시켜 데이터베이스(140)에 저장하고, 상기 수집된 제2 링크정보를 상기 제2 웹페이지 소스에 대응시켜 데이터베이스(140)에 저장할 수 있다.In an embodiment, the
단계 530에서, 악성코드 분석 시스템(100)은 상기 제1 링크정보와 상기 제2 링크정보가 상이한지 판단한다. 예를 들어, 악성코드 분석 시스템(100)은 상기 제1 링크정보에 포함된 제1 링크개수와 상기 제2 링크정보에 포함된 제2 링크개수가 서로 상이한지 판단할 수 있다.In
본 발명의 실시예로, 상기 제1 링크정보는 제1 내부 링크정보, 제1 외부 링크정보를 포함하고, 상기 제2 링크정보는 제2 내부 링크정보, 제2 외부 링크정보를 포함할 수 있다. 이 경우, 악성코드 분석 시스템(100)은 (1)상기 제1 내부 링크정보와 상기 제2 내부 링크정보가 상이한지 여부를 판단하거나, (2)상기 제1 외부 링크정보와 상기 제2 외부 링크정보가 상이한지 여부를 판단함으로써, 단계 510 또는 단계 540을 선택적으로 수행할 수 있다.In an embodiment of the present invention, the first link information may include first internal link information and first external link information, and the second link information may include second internal link information and second external link information. . In this case, the
상기 판단결과, 동일한 경우, 악성코드 분석 시스템(100)은 상기 제1, 제2 웹페이지 소스에 악성코드가 포함되어 있지 않다고 판단하고, 단계 510으로 되돌아가서, 제3 웹페이지 소스를 다운로드한다. 상기 제3 웹페이지 소스는 상기 제2 시점과 상이한 제3 시점에 다운로드되는 웹페이지 소스이다. 이후, 악성코드 분석 시스템(100)은 상기 제2 웹페이지 소스로부터 수집된 제2 링크정보와 상기 제3 웹페이지 소스로부터 수집된 제3 링크정보를 비교함으로써, 제2, 제3 웹페이지 소스에 악성코드가 포함되어 있는지 판단할 수 있다.As a result of the determination, in the same case, the malicious
상기 판단결과, 상이한 경우, 단계 540에서, 악성코드 분석 시스템(100)은 상기 제1 웹페이지 소스 또는 상기 제2 웹페이지 소스에 악성코드가 포함되어 있다고 판단한다.As a result of the determination, in
이 경우, 실시예에 따라, 악성코드 분석 시스템(100)은 악성코드가 포함되어 있다고 판단된 제1 링크정보 또는 제2 링크정보가 데이터베이스(140)에 저장된 악성 링크 패턴에 포함되는지 여부를 2차로 판단할 수 있다. 상기 악성 링크 패턴은 링크정보와 유사하며 악성코드로 분류되는 링크 패턴에 대한 것으로, 관리자에 의해 설정될 수 있다. 악성코드 분석 시스템(100)은 상기 제1 링크정보 또는 상기 제2 링크정보가 상기 악성 링크 패턴에 포함되는 경우, 상기 제1 웹페이지 소스 또는 상기 제2 웹페이지 소스에 악성코드가 포함되어 있다고 판단할 수 있다.In this case, according to an embodiment, the
이어서, 악성코드 분석 시스템(100)은 악성코드가 포함된 것으로 판단된 링크정보로부터 악성 스트링을 수집하고, 상기 수집된 악성 스트링을 데이터베이스(140)에 저장한다. 상기 악성 스트링은 상기 악성 링크 패턴과 유사하며, 이후, 웹페이지 소스에 악성코드가 포함되어 있는지 판단할 때 이용할 수 있다.Subsequently, the malicious
또한, 본 발명의 실시예들은 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터 판독 가능 매체를 포함한다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조 합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.Further, embodiments of the present invention include a computer readable medium having program instructions for performing various computer implemented operations. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. Program instructions recorded on the media may be those specially designed and constructed for the purposes of the present invention, or they may be of the kind well-known and available to those having skill in the computer software arts. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks, such as floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like.
지금까지 본 발명에 따른 구체적인 실시예에 관하여 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서는 여러 가지 변형이 가능함은 물론이다. 그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 안되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.While specific embodiments of the present invention have been described so far, various modifications are possible without departing from the scope of the present invention. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined by the equivalents of the claims and the claims.
도 1은 본 발명의 일실시예에 따른 악성코드 분석 시스템의 구성을 도시한 블록도이다.1 is a block diagram showing the configuration of a malicious code analysis system according to an embodiment of the present invention.
도 2는 본 발명의 일실시예에 따른 악성코드 분석 시스템에서 웹페이지 소스에 악성코드가 포함되어 있는지 판단하는 일례를 도시한 도면이다.2 is a diagram illustrating an example of determining whether a malicious code is included in a web page source in a malicious code analysis system according to an exemplary embodiment of the present invention.
도 3은 본 발명의 일실시예에 따른 악성코드 분석 시스템에서 링크정보에 악성 링크 패턴이 포함되어 있는지 판단하는 일례를 도시한 도면이다.3 is a diagram illustrating an example of determining whether a malicious link pattern is included in link information in a malware analysis system according to an exemplary embodiment of the present invention.
도 4는 본 발명의 일실시예에 따른 악성코드 분석 시스템에서 악성코드가 포함된 링크정보로부터 악성 스트링을 수집하는 일례를 도시한 도면이다.4 is a diagram illustrating an example of collecting a malicious string from the link information containing the malicious code in the malware analysis system according to an embodiment of the present invention.
도 5는 본 발명의 일실시예에 따른 악성코드 분석 방법의 순서를 도시한 흐름도이다.5 is a flowchart illustrating a procedure of a malicious code analysis method according to an embodiment of the present invention.
<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>
100: 악성코드 분석 시스템100: malware analysis system
110: 다운로드부110: download
120: 수집부120: collector
130: 판단부130: judgment
140: 데이터베이스140: database
150: 악성 스트링 수집부150: malicious string collector
Claims (15)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090042555A KR101052443B1 (en) | 2009-05-15 | 2009-05-15 | Malware Analysis Method and System |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090042555A KR101052443B1 (en) | 2009-05-15 | 2009-05-15 | Malware Analysis Method and System |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20100123368A KR20100123368A (en) | 2010-11-24 |
KR101052443B1 true KR101052443B1 (en) | 2011-07-28 |
Family
ID=43408060
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090042555A KR101052443B1 (en) | 2009-05-15 | 2009-05-15 | Malware Analysis Method and System |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101052443B1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101431951B1 (en) | 2013-01-03 | 2014-08-19 | 사단법인 금융결제원 | Method and System for Detecting Phishing by using Referrer Monitoring based Dummy Link |
KR101543238B1 (en) | 2015-01-21 | 2015-08-11 | 한국인터넷진흥원 | Apparatus, system and method for collecting and processing a web traffic to detect a malicious script in real-time |
WO2024106860A1 (en) * | 2022-11-18 | 2024-05-23 | 주식회사 포테이토넷 | Link characteristic analysis-based abnormal web content detection method and system |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101327865B1 (en) * | 2011-12-29 | 2013-11-12 | 주식회사 시큐아이 | Homepage infected with a malware detecting device and method |
KR101526500B1 (en) * | 2013-12-20 | 2015-06-09 | 고려대학교 산학협력단 | Suspected malignant website detecting method and system using information entropy |
KR101577404B1 (en) * | 2015-08-13 | 2015-12-28 | 인스소프트 주식회사 | System and method for blocking access malware by using monitoring java-script object and computer program for executing the method |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070049514A (en) * | 2005-11-08 | 2007-05-11 | 한국정보보호진흥원 | Malignant code monitor system and monitoring method using thereof |
-
2009
- 2009-05-15 KR KR1020090042555A patent/KR101052443B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070049514A (en) * | 2005-11-08 | 2007-05-11 | 한국정보보호진흥원 | Malignant code monitor system and monitoring method using thereof |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101431951B1 (en) | 2013-01-03 | 2014-08-19 | 사단법인 금융결제원 | Method and System for Detecting Phishing by using Referrer Monitoring based Dummy Link |
KR101543238B1 (en) | 2015-01-21 | 2015-08-11 | 한국인터넷진흥원 | Apparatus, system and method for collecting and processing a web traffic to detect a malicious script in real-time |
WO2024106860A1 (en) * | 2022-11-18 | 2024-05-23 | 주식회사 포테이토넷 | Link characteristic analysis-based abnormal web content detection method and system |
Also Published As
Publication number | Publication date |
---|---|
KR20100123368A (en) | 2010-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8635691B2 (en) | Sensitive data scanner | |
US8713680B2 (en) | Method and apparatus for modeling computer program behaviour for behavioural detection of malicious program | |
CN104123493B (en) | The safety detecting method and device of application program | |
JP6609047B2 (en) | Method and device for application information risk management | |
KR100723867B1 (en) | Apparatus and method for blocking access to phishing web page | |
KR101052443B1 (en) | Malware Analysis Method and System | |
CN109361711B (en) | Firewall configuration method and device, electronic equipment and computer readable medium | |
CN108632219B (en) | Website vulnerability detection method, detection server, system and storage medium | |
CN102663052B (en) | Method and device for providing search results of search engine | |
KR101190261B1 (en) | Hybrid interaction client honeypot system and its operation method | |
CN105653949B (en) | A kind of malware detection methods and device | |
KR102120200B1 (en) | Malware Crawling Method and System | |
CN110535806A (en) | Monitor method, apparatus, equipment and the computer storage medium of abnormal website | |
CN104640105A (en) | Method and system for mobile phone virus analyzing and threat associating | |
US11580220B2 (en) | Methods and apparatus for unknown sample classification using agglomerative clustering | |
JP5478390B2 (en) | Log extraction system and program | |
CN107103243B (en) | Vulnerability detection method and device | |
CN111191240B (en) | Method, device and equipment for collecting Internet electronic evidence | |
US11528291B2 (en) | Methods and apparatus for defending against exploitation of vulnerable software | |
Alnaeli et al. | Vulnerable C/C++ code usage in IoT software systems | |
KR101410255B1 (en) | System, device, method and computer readable recording medium for determining potential risk of application files | |
El-Rewini et al. | Dissecting residual APIs in custom android ROMs | |
KR20150059882A (en) | System and method for analyzing malicious application of smart-phone and service system and service method for blocking malicious application of smart-phone | |
KR100937020B1 (en) | Integration security system and method by tracking web-database attack detection log data | |
KR20110129020A (en) | Malicious code prevention system using code analysis technique and method for operating the system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20140630 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20160425 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20170628 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20180723 Year of fee payment: 8 |